桌上電話瘋響,午睡的雅興全無。小胡拎起電話,沒好氣的“喂”了一聲。
“不好啦。我們的磁盤陣列染病毒啦!”電話那頭的聲音焦急萬分。
“您好,請您仔細描述一下好嗎?是連接磁盤陣列的主機染病毒了嗎?”聽出對方是客戶,小胡只好忍著心裡的髒話,細聲細氣的詢問。
“不是,不是,就是你們去年賣給我們的那台磁盤陣列染病毒了!”
小胡深吸口氣,思量著怎麼對付這個白癡。
“如果是磁盤陣列中的數據染了病毒,您需要在主機上進行殺毒,跟殺內部磁盤上的病毒一樣。”
“不是,不是,不是,是磁盤陣列裡面染病毒。磁盤陣列控制器的Firmware染病毒了!”
小胡死命的憋著“神經病”三個字,勉強平靜的問:“你是怎麼確定磁盤陣列染毒的呢?”
電話那頭似乎也吸了口氣,聲音徐緩下來。“我是這個機房的網管,今天發現網絡上有病毒傳播,就斷網逐個殺毒,卻怎麼也殺不干淨。最後我們在交換機上截獲數據包分析,發現毒源的IP地址居然是你們的磁盤陣列上的。”
“啊!”所有准備羞辱對方無知的打算都瞬間蒸發掉了,只剩下結結實實的驚訝。
做了這麼久的技術支持工作,小胡還是第一次聽說磁盤陣列控制器也能中毒。
這是筆者日前碰到的一個真實場景。其實不只是小胡,估計很多資深的存儲工程師碰到磁盤陣列染病毒的說法,反應都會跟小胡一樣。傳統上磁盤陣列在系統的位置僅僅是一個外部設備,很多用戶甚至直接稱呼其為“大硬盤”。這種設備自身雖然也有固件(Firmware)部分,但基本都是諸如VxWorks甚至更小的嵌入式系統,極少有病毒能夠感染這種系統。自然也就沒人見過磁盤陣列染病毒這種事情。
但是,近年來隨著磁盤陣列功能的豐富和處理要求的提高,越來越多的中高端磁盤陣列開始選用更大型的操作系統作為固件平台。
* NetApp存儲設備控制器中運行的是定制後的FreeBSD;
* Engineo磁盤陣列(即IBM DS4000系列)控制器采用Intel Celeron芯片,運行的是Linux(DS4100和DS4300仍然沿襲Mylex技術,采用Xscale CPU及VxWorks系統);
* EMC CLARiiON系列陣列控制器采用Intel Pentium芯片,曾經以Windows2000作為操作系,現在升級為WindowsXP;
* Sun新推出的6920磁盤陣列中心處理單元(稱為DSP)是一台Sparc服務器,運行標准的Solaris和Veritas Volume Manager;
* IBM企業級產品DS8000陣列控制器是RS6000架構,運行AIX系統。
傳統服務器操作系統在磁盤陣列控制器中的盛行,自然為這些產品的功能和處理能力提供了強大動力支持,但是同時也為病毒傳播和黑客攻擊提供了機會。
毋需諱言Windows、Linux、Solaris和AIX這些開放系統平台由於用戶眾多,自然成了病毒和黑客們的重點攻擊對象。筆者的筆記本上安裝了預警系統,可以報告一些嗅探器的掃描和非法請求。雖然這個預警系統不能監測到所有的攻擊和掃描,但既便如此,每周累計上百條的事件已經足以說明Internet中的各類攻擊和掃描其數量何等驚人。如果這些攻擊中只有哪怕1‰的成功率,也將意味著系統平均每2~3個月就會被非法入侵一次。對絕大多數中高端系統而言,這樣的安全性是完全無法忍受的。更何況,對沒有任何保護的“裸系統”,攻擊的成功率會比1‰高很多。筆者曾經嘗試將僅安裝有WindowsXP的筆記本電腦徹夜連接在Internet上,次日早上MSN 的口令已經被更改,桌面設置也面目全非。
針對Windows、Linux和開放Unix系統的病毒和攻擊每天都在更新,而這些系統本身,也是依靠頻繁的補丁和第三方安全軟件來保護的。因此,對安裝在陣列控制器中的系統而言,情況便很棘手。目前還沒有第三方安全軟件廠商為陣列控制器提供安全防護軟件,用戶只能像頻繁的為主機打補丁一樣,頻繁的為陣列控制器升級固件。事實上,各磁盤陣列廠商也是這樣提倡的,這些廠商一邊向用戶聲稱“升級為最新版本的固件才能保證系統最為可靠”,一邊以平均每周一次的速度更新其固件版本。然而升級陣列固件對在線的磁盤陣列來說是非常危險的操作,頻繁的升級固件無疑會嚴重影響數據安全。既便廠商可以保證100%安全的固件升級,大多數中高端系統也無法忍受如此頻繁的當機窗口。每周停機1~2小時,每年就要50~100小時!這哪裡還是廠商們所宣稱的“四個九”、“五個九”的高可用?
也許廠商們也意識到了這個尴尬,一些還算有責任感的廠商在新推出的產品中引入了一個特殊的功能----在線升級固件。這下問題似乎解決了。筆者曾多次親耳聆聽過幾家知名廠商的工程師們對此功能的溢美之辭,稱其可以實現“不間斷的系統維護”雲雲。事實果真如此嗎?很遺憾,實際情況完全沒有那麼完美。翻開任何一款支持“在線固件升級”產品的用戶手冊,都會發現其操作規程中大同小異的赫然提示:“雖然本產品可以支持在線固件升級,但要求升級過程中停止任何外部 I/O操作。”這是什麼意思?磁盤陣列可以不停機,但是主機讀寫需要停止。這跟系統停機有什麼區別?!所謂“不間斷維護”,豈不成了文字游戲。
退一萬步說,既便用戶完全按照廠商的要求,以最快的速度更新固件,磁盤陣列就安全了嗎?把WindowsXP的補丁升級到最新版本,就可以免受病毒和黑客威脅了嗎?一樣的道理嘛。也許有人會懷疑,“並沒有聽說很多磁盤陣列染病毒和被攻擊的事件啊。”其實道理也很簡單。想想中高端磁盤陣列一般應用的環境,電信公司的中心機房哪個不是層層的軟硬防火牆保護?銀行的中心機房更甚,干脆就隔離了接駁Internet的物理連接。這些客觀因素減少了磁盤陣列這種“脆弱系統”遭受侵擾的機會,但是這並不等於減少了磁盤陣列的“脆弱性”。
需要注意的是,機房環境對磁盤陣列的保護是非常有限的。幾乎所有中高端磁盤陣列都支持提供遠程管理維護,而且廠商或集成商也樂於通過遠程管理端口進行定期巡檢。如果可能,廠商和集成商都會力勸用戶為磁盤陣列提供一個公網地址,並將其置於可由外部訪問的位置。也許集成商和用戶大多沒注意到,這種方便也使磁盤陣列的“脆弱性”暴露在危險的公網環境中。
另外,一旦機房內部感染病毒或出現惡意用戶,磁盤陣列由於毫無防范,基本是在劫難逃。前面故事中,小胡的客戶遭遇的便是這種情況。磁盤陣列雖然易於感染,但一旦出現這種情況,查殺病毒和惡意代碼的工作卻很困難。由於封裝機制特殊,一般通用安全軟件是無法在陣列控制器上安裝的。而且,此類系統對管理員帳戶及其他方面的改動,也妨礙了安全軟件以網絡方式清理系統。簡單一句話,磁盤陣列易感染病毒卻不易清除。
除磁盤陣列之外,其他的存儲設備情況如何呢?我們知道,一些光纖交換設備和虛擬存儲設備的核心操作系統也是以Linux為基礎。但是總體而言,這些設備的安全機制要比磁盤陣列好很多。部分原因是因為大多數此類廠商,都或多或少的有傳統以太網絡技術基礎,還有一部分原因是,這些系統與人們耳熟能詳的 RedHat、SuSe等Linux版本差異較大,對病毒和黑客而言“兼容性”比較差。
NAS和iSCSI設備中通用操作系統更為流行,微軟公司還為此類設備開發了Windows Storage Server作為專業系統,其病毒“兼容性”自然非常“好”。然而幸運的是,一般NAS和iSCSI設備上都會附加有網絡安全方面保護。幾乎每個NAS產品都會預安裝或以選項方式提供防病毒軟件,並有良好的認證保護機制。iSCSI設備中則干脆將CHAP保護機制作為其標准配置之一,避免了系統裸露於不安全的網絡之中。
由此可見,NAS和iSCSI設備在網絡安全方面顯然比傳統FC磁盤陣列更具優勢。因此,在性能和擴展性等要求都可以滿足的前提下,選用NAS或 iSCSI設備會使存儲設備本身更安全。如果一定要選用FC磁盤陣列,則需要盡量避免通過控制器的網絡接口進行管理,而盡量采用更為安全的帶內(In- Band)管理模式。
我們還是看看小胡是如何為用戶解決問題吧。其中關鍵的步驟無外乎前面提到的幾點:
* 備份所有磁盤陣列中的數據和配置信息;
* 刷新陣列控制器固件(相當於重新安裝操作系統)為最新版本;
* 手工恢復陣列配置信息;
* 去除用於管理的以太網連接,改為帶內管理;
* 再次全網殺毒。
* 搞定!
用戶滿意了。小胡也上了一課,原來磁盤陣列也是可以染病毒的。
